Sei sulla pagina 1di 31

ANALISIS FORENSE

INFORMATICO

DEFINICIONES
C o m p u t e r f o re n s ic s ( c om p u ta ci n f ore n s e ) . - D i s c i p l i n a d e l a s
c i e n c i as f o re n s e s , q u e c o n s i d e r a n d o l as tare a s p rop i a s a s o c i a d as
c o n l a e v i d e n c i a , p ro c u r a d e s c u b r i r e i n te r p re ta r l a i n f o rm a c i n e n
l o s m e d i os i n f orm t i c o s p ar a e s ta b l e c e r l os h e c h o s y f o rm u l a r l as
h i p te s i s re l a c i o n a d a s c o n e l c as o.
N e tw o r k f o r e n s i c s ( f ore n s e e n re d e s ) . - C om p re n d e r l a m an e r a
c o m o l os p ro t o c ol o s , c on fi g u r a c i on e s e i n f r a e s tr u c tu r a s d e
c o m u n i c a c i o n e s s e c o n j u g an p a r a d a r c om o re s u l tad o u n m o m e n to
e s p e c fi c o e n e l t i e m p o y u n c om p o r tam i e n t o p ar ti c u l ar.
D i g i t a l f o r e n s i c s ( f o re n s e d i g i ta l ) . - E s u n a f o rm a d e a p l i c a r l o s
c o n c e p to s , e s t r a t e g i a s y p ro c e d i m i e n tos d e l a c r i m i n al s ti c a
t r ad i c i on a l a l o s m e d i os i n f o rm t i c os e s p e ci al i za d o s . E s u n a
d i s c i p l i n a e s p e c i a l i z a d a q u e p ro c u r a e l e s c l are c i m i e n to d e l o s
h e c h o s ( q u i n ? , c m o ? , d n d e ? , c u n d o? , p o rq u ? ) d e e v e n to s
q u e p od r an c at a l o g ar s e c om o i n ci d e n te s , f r au d e s o u s os i n d e b i d os
b i e n s e a e n e l c on t ex t o d e l a j u s ti c i a e s p e c i al i za d a o c om o a p o y o a
l a s ac c i o n e s i n t e rn a s d e ad m i n i s tr ac i n d e l a i n s e g u r i d ad
i n f orm t i c a .

HERRAMIENTAS FRECUENTEMENTE
UTILIZADAS EN PROCEDIMIENTOS
FORENSES
ENCASE http://www.encase.com/products/ef_index.asp
FORENSIC TOOLKIT
http://www.accessdata.com/products/utk/
WINHEX http://www.x-ways.net/forensics/index-m.html
Existen otras que no cuentan con tanto reconocimiento
internacional en procesos legales, que generalmente son
aplicaciones en software de cdigo abierto:
Sleuth Kit http://www.sleuthkit.org/
Coroner Toolkit http://www.porcupine.org/forensics/tct.html
Para mayor informacin de otras herramientas forenses en
informtica se sugiere revisar el enlace:
http://www.e-evidence.info/vendors.html

LA MAYOR PARTE DE LAS TCNICAS SE


BASAN EN LA RECUPERACIN DE
INFORMACIN DE DISCOS DUROS Y
RGIDOS.
E N C A S E h t t p : / / w w w. g u i d a n c e s o ft w a re . c o m / p ro d u c t s / E n C a s e Fo r e n s i c / i n d e x . s h t m
Q u e p u e d e re a l i z a r d u p l i c a c i o n e s e x a c t a s d e l c o n t e n i d o d e u n d i s c o , i n c l u s o d e
f o r m a re m o t a .
S M A RT
h t t p : / / w w w. a s r d a t a . c o m / S M A RT /
Es una utilidad que permite instalar en un disco

las imgenes capturadas con

Encase.
Fo r e n s i c To o l k i t
h t t p : / / w w w. a c c e s s d a t a . c o m / P r o d u c t 0 4 _ O v e r v i e w. h t m ? P ro d u c t N u m = 0 4
C o n j u n t o d e h e r r a m i e n t a s d e a n l i s i s f o re n s e .
Disk Doubler II
h t t p : / / w w w. l e c . c z / e n / p ro d u k t y _ d a t o v e _ d i s k d o u b l e r _ I I 2 . h t m l
U n d u p l i c a d o r h a r d w a re d e d i s c o s .
Disk Doubler Plus
h t t p : / / w w w. l e c . c z / e n / p ro d u k t y _ d a t o v e _ d i s k d o u b l e r p l u s 2 . h t m l
Una aplicacin de bsqueda de cadenas en los datos adquiridos.

LA RECUPERACIN DE FICHEROS
BORRADOS O NO ACCESIBLES ENTRA
TAMBIN DENTRO DE ESTE CAMPO Y
PARA ELLO TENEMOS:
Fo r e m o s t
h t t p : / / f o re m o s t . s o u rc e f o rg e . n e t /
Pe rm i t e ex t r a e r fi c h e ro s d e l i n t e r i o r d e u n a i m a g e n d e d i s c o .
Herramientas de recuperacin de archivos.
C I A U n e r a s e - h t t p : / / w w w. c i a u n e r a s e . c o m /
F i l e Re c o v e r - h t t p : / / w w w. fi l e re c o v e r. c o m / d o w n l o a d . h t m l
R - S t u d i o - h t t p : / / w w w. r- s t u d i o . c o m /
O n t r a c k E a s y Re c o v e r y - h t t p : / / w w w. o n t r a c k . c o m / e a s y re c o v e r y /
G e t D a t a B a c k - h t t p : / / w w w. r u n t i m e . o rg /
Sleuth Kit
h t t p : / / w w w. s l e u t h k i t . o rg / i n f o rm e r /
S i s e h a n b o rr a d o p a r t i c i o n e s c o n f d i s k .
N T F S Re a d e r
h t t p : / / w w w. n t f s . c o m / p ro d u c t s . h t m
E s u n p ro g r a m a Wi n d o w s q u e g e n e r a u n a i m a g e n d e fl o p p y d i s k p a r a
a rr a n c a r e n Fre e D o s y p e rm i t e l e e r y c o p i a r fi c h e ro s d e n t ro
de particiones
N T FS .

Crear im g e ne s d e disc os d e arranq ue d e siste mas


op erativos
B ootdisk - http :/ /w w w.b ootdisk.com/
W inim ag e - http :// ww w.w inimag e.c om/ winimag e.htm
P EBuild e r - http: // ww w.nu2.nu/p eb uild er/
Wotsit Form at
http: //w w w.w otsit.org /
Contiene las esp ecifi caciones de mltip les formatos d e
a rchiv os.
Ge stin de p artic io ne s.
D rive Imag e - http :/ /w ww.p ow erq ues t.com/d riv eimag e/
N orton Ghost - http: // ww w.symantec.com/g host/

E L AN L ISIS FORE N SE TAM B I N S E RE F IE RE A


D E TE R M IN AR L AS C AU S AS L A ALTE RAC I N DE S U S
DAT OS O L A C A DA O M AL FU N C IO N AM IE N T O D E L
SIST E M A.
C o n t r o l d e i n t e g r i d a d d e fi c h e r o s
Tr i p w i r e
h t t p : / / w w w. t r i p w i re . c o m / d o w n l oa d s / i n d ex .c f m
Osiris
h t t p : / / o s i r i s . s h m o o. c o m /
John the Ripper
h t t p : / / w w w. o p e n w a l l . c o m / j o h n /
E s e l c r a c ke a d o r d e c o n t r a s e a s d e fu e r z a b r u ta m s fa m o s o ,
p ro b a b le m e n t e p o r s e r g r a t u i to y u n o d e l o s p r i m e ro s .
O p e n Wa l l
h t t p : / / w w w. o p e n w a l l . c o m / P R /
E s u n a re c o p il a c i n d e re c u p e r a d o re s d e c o n t r a s e as
Ru s s i a n Pa s s w o r d C r a c ke r s
h t t p : / / w w w. p a s s w o rd - c r a c ke r s . c o m / I n c l u y e c r a c ke a d o re s p a r a
c o m p re s o re s , p a r a u t i l i d a d e s d e c i f r a d o, B I O S , fo rm a t o s d e fi c h e ro s
( O ffi c e , P D F , e t c . ) , b a s e s d e d a t o s , S i s t e m a s O p e r a t i v o s ,
Aplicaciones,
e t c . s e i n c l u y e n a d e m s e n l a c e s s o b re l o s a l g o r i tm o s y s u s d e b i li d a d e s

MDcrack
http://membres.lycos.fr/mdcrack/
Es capaz de romper ha shes MD4, MD5 y NTLM1
Offl in e NT Password Registry editor
http://home.eunet.no/~pnordahl/ntpa sswd/
Permite recuper ar o resta blecer una contra sea en Windows.
Recuperar o restabl ecer una con trasea en Windows 2000
Chntpw - http://www.cgsecurity.org/index.htm l?ntfs.html
pwdump3 http://archives.neohapsis.com/archives/ntbugtra q/2 001-q1/0007.html
Dumpsec - http://www.soma rsoft.com /
L C5
http://www.atstake.com/resea rch/lc/download.html
Es la ltima versin del fa moso crackeador de pa sswords
comercial L0phtCrack, antiguo gr upo de ha cking a hora reconvertido en
el empresa @Stake. Se trata de un softwa re de recupera cin de
pa sswords por fuerza bruta y por diccionario para Microsoft Windows.

Cain
http://www.oxid.it/cain.html
Software muy conocido para la recuperacin de password
Windows.
Rainbowcrack
http://www.antsight.com/zsl/rainbowcrack/
Pe rmit e agilizar e l cracking de contraseas mediante
precomputacin de hashes.
Winrtgen
http://www.oxid.it/project s.html
Se puede agilizar la generacin de tablas para Rainbowcrack.
Revelatio n
http://www.snadboy.com/
Utilidad free ware para reve lar las contrase as ocultas e n el GUI
de Windows.

METODOLOGA

1. FASE DE IDENTIFICACION
Qu informacin se necesita?
Cmo aprovechar la informacin presentada?
En qu orden ubico la informacin?
Acciones necesarias a seguir para el anlisis
forense?
1.1 SOLICITUD FORENSE
Es un documento donde el administrador del equipo
afectado notifi ca de la ejecucin de un incidente y para
ello solicita al equipo de seguridad la revisin del
mismo, donde incluye toda la informacin necesaria
para dar inicio al proceso de anlisis.

INFORMACIN INCLUIDA EN EL
DOCUMENTO:
DESCRIPCIN DEL DELITO
INFORMTICO
Fecha del incidente
Duracin del incidente
Detalles del incidente
INFORMACIN GENERAL
rea
Nombre de la dependencia
Responsable del sistema
afectado
Nombres y Apellidos
Cargo
E-mail
Telfono
Extensin
Celular
Fax

INFORMACIN SOBRE EL
EQUIPO AFECTADO
Direccin IP
Nombre del equipo
Marca y modelo
Capacidad de la RAM
Capacidad del disco duro
Modelo del procesador
Sistema operativo (nombre y
versin)
Funcin del equipo
Tipo de informacin procesada
por el equipo

1.2 ASEGURAR LA ESCENA


Para asegurar que tanto los procesos como las
herramientas a utilizar sean las ms idneas se debe
contar con un personal competente a quien se le pueda
asignar la conduccin del proceso forense.
1.3 IDENTIFICAR LAS EVIDENCIAS
El siguiente paso y muy importante es la identifi cacin
de la evidencia presentada que es nuestra escena del
crimen, la misma que estar sujeta a todos los
procesos necesarios para la presentacin de resultados
fi nales.

LA EVIDENCIA SE CLASIFICA
SEGN:
1.3.1 PRIORIDADES DEL ADMINISTRADOR
Las pr ior idades de l a dmi n is trador s e basa n e n l a cr iti ci dad de lo s da os produci dos
por el incidente.
CRITICIDAD DE
LO S D A O S

Extensin de

Criticidad de los

da os produ ci dos

re c u r s o s a f e c t a d o s

L a ex t e n s i n d e l o d a o s p ro d u c i d o s e s :
G r a v e s . - Q u e e l i n c i d e n t e p ro d u j o d a o s m u y s e v e ro s s o b re l o s s e r v i c i o s o
i n f o rm a c i n .
M o d e r a d o s . - Q u e e l i n c i d e n t e c a u s o m o l e s t i a s y p r d i d a d e i n f o rm a c i n .
Le v e s . - Q u e e l i n c i d e n t e p ro d u c i d o n o t i e n e m a y o r i m p o r t a n c i a , n o s e
p ro d u j o n i n g n t i p o d e p e rd i d a p e ro s i u n c o r t e o m o l e s t i a e n l o s s e r v i c i o s .
L a c r i t i c i d a d d e l o s re c u r s o s a f e c t a d o s e s :
A l t a . - Lo s re c u r s o s a f e c t a d o s s o n m u y i m p o r t a n t e s d e n t ro d e l a u n i v e r s i d a d
y c o m o t a l c o m p ro m e t e n e l n o rm a l f u n c i o n a m i e n t o y p re s t a c i n d e
servicios.
M e d i a . - L o s re c u r s o s a f e c t a d o s c a u s a n m o l e s t i a s a u n re a d e l a
universidad.
B a j a . - Lo s re c u r s o s a f e c t a d o s c a u s a n c i e r t a s m o l e s t i a s p e ro s e p u e d e
s e g u i r c o n e l n o rm a l f u n c i o n a m i e n t o d e l o s e q u i p o s .

1.3.2 TIPO DE DISPOSITIVO


Sistemas informticos
Redes
Redes Inalmbricas
Dispositivos mviles
Sistemas embebidos16
Otros dispositivos
1.3.3 MODO DE ALMACENAMIENTO
Voltiles .- Aquellas que se perdern al apagar el equipo
como la hora del sistema y desfase de horario, contenido
de la memoria, procesos en ejecucin, programas en
ejecucin, usuarios conectados, confi guracin de red,
conexiones activas, puertos abiertos, etc.
No voltiles.- medios fsicos de almacenamiento como
memorias fl ash, CD, discos duros.

2. FASE DE PRESERVACION
Una
vez que se cuenta con todas las evidencias del
incidente es necesario conservarlas intactas ya que son las
huellas del crimen, se deben asegurar estas evidencias a
toda costa. Para ello se sigue el siguiente proceso:
2.1 COPIAS DE EVIDENCIAS
Como primer paso se debe realizar dos copias de las
evidencias obtenidas.
Etiquetarla con la fecha y hora de creacin de la copia,
nombre cada copia, por ejemplo COPIA A, COPIA B
Si adems se extrae los discos duros del sistema para
utilizarlos como evidencia, se debe seguir el mismo
procedimiento, colocando sobre ellos la etiqueta
EVIDENCIA ORIGINAL

2.2 CADENA DE CUSTODIA


S e es ta blecen las resp ons abilid ades y controles d e cad a una d e
la s per sonas que manip ulen la evid encia. Se d ebe p rep arar un
d ocumento en el q ue s e reg is tren los d atos p ersonales d e todos
los implicad os en el p roceso de manip ulacin d e las cop ia s,
d es d e q ue s e tomaron hasta s u almac enamiento.
E l d ocumento d ebe d e tener la siguiente informacin:
Dnd e, cundo y q uin examin la evid encia, incluyendo s u
nomb re, su cargo, un nmero id entifi cativo, fechas y horas, etc.
Quin estuvo cus todiand o la evid encia, durante cuanto tiemp o
y d nde s e almacen.
Cua ndo s e c ambie la custodia d e la evid encia tamb in se
d eb er d ocumenta r cundo y como se p rod ujo la transferencia y
q uin la tra nsp ort

3. FASE DE ANLISIS
El o b je tivo es re c ons t ruir c on to d o s los d a tos d isp o nib le s la lnea
t e m p or al d el a t a q ue, d et erm inand o la c a d e na d e ac onte c im ient os q ue
t uvie ron lug ar d es d e el inic io d e l a ta q ue , ha sta el m o m ento d e su
d e sc ub r im ient o.
3 . 1 P R E PA R A C I O N PA R A E L A N A L I S I S
Antes de comenzar el anlisis de las evidencias se deber:
1 ) Ac o n d i c i o n a r u n e n t o rn o d e t r a b a j o a d e c u a d o a l e s t u d i o q u e s e d e s e a
re a l i z a r
2 ) Tr a b a j a r c o n l a s i m g e n e s q u e s e re c o p i l c o m o e v i d e n c i a s , o m e j o r a n c o n
una copia de stas, tener en cuenta que es necesario montar las imgenes tal
c u a l e s t a b a n e n e l s i s t e m a c o m p ro m e t i d o.
3 ) S i d i s p o n e d e re c u r s o s s u fi c i e n t e s p re p a r a r d o s e s t a c i o n e s d e t r a b a j o , u n a d e
e l l a s c o n t e n d r a l m e n o s d o s d i s c o s d u ro s .
4 ) I n s t a r u n s i s t e m a o p e r a t i v o q u e a c t u a r d e a n fi t r i n y q u e s e r v i r p a r a
re a l i z a r e l e s t u d i o d e l a s e v i d e n c i a s . E n e s t e m i s m o o rd e n a d o r y s o b re u n
s e g u n d o d i s c o d u ro , i n s t a l a r l a s i m g e n e s m a n t e n i e n d o l a e s t r u c t u r a d e
p a r t i c i o n e s y d e l s i s t e m a d e a rc h i v o s t a l y c o m o e s t a b a n e n e l e q u i p o a t a c a d o.
5 ) E n o t ro e q u i p o i n s t a r u n s i s t e m a o p e r a t i v o c o n fi g u r a d o ex a c t a m e n t e i g u a l
que el equipo atacado, adems mantener nuevamente la misma estructura de
p a r t i c i o n e s y fi c h e ro s e n s u s d i s c o s d u ro s . L a i d e a e s u t i l i z a r e s t e s e g u n d o
o r d e n a d o r c o m o c o n e j i l l o d e I n d i a s y re a l i z a r s o b re l p r u e b a s y
v e r i fi c a c i o n e s c o n f o r m e s e v a y a n s u rg i e n d o h i p t e s i s s o b re e l a t a q u e .

3.2 RECONSTRUCCION DE LA
SECUENCIA TEMPORAL DEL ATAQUE
1) Crear una lnea temporal o timeline de sucesos, para
ello se debe recopilar la siguiente informacin sobre
los fi cheros:
Marcas de tiempo MACD (fecha y hora de
modifi cacin, acceso, creacin y borrado).
Ruta completa.
Tamao en bytes y tipo de fi chero.
Usuarios y grupos a quien pertenece.
Permisos de acceso.
Si fue borrado o no.

3.2 RECONSTRUCCION DE LA
SECUENCIA TEMPORAL DEL ATAQUE
2) Ordenar los archivos por sus fechas MAC, esta
primera comprobacin, aunque simple, es muy
interesante pues la mayora de los archivos tendrn la
fecha de instalacin del sistema operativo, por lo que
un sistema que se instal hace meses y que fue
comprometido recientemente presentar en los
fi cheros nuevos, fechas MAC muy distintas a las de los
fi cheros ms antiguos.

3) Comenzar a examinar con ms detalle los fi cheros


logs y registros que se examinaron durante la
bsqueda de indicios del ataque, intentar buscar una
correlacin temporal entre eventos.

3.2 RECONSTRUCCION DE LA
SECUENCIA TEMPORAL DEL ATAQUE
4) Examinar los fragmentos del archivo
/var/log/messages, que es donde se detectan y
registran los accesos FTP, esto nos permitir
descubrir si sobre esa fecha y hora se crearon varios
archivos bajo el directorio /var/ftp de la mquina
comprometida19, adems se debe tener presente que
este directorio puede ser borrado por el atacante y
deber ser recuperado.

3.3 DETERMINACION DE COMO SE


REALIZO EL ATAQUE
Se deber determinar cul fue la va de entrada al
sistema, averiguando qu vulnerabilidad o fallo de
administracin caus el agujero de seguridad y que
herramientas utiliz el atacante para aprovecharse de
tal brecha.
1) Revisar los servicios y procesos abiertos que se
recopilaron como evidencia voltil, as como los
puertos TCP/UDP y conexiones que estaban abiertas
cuando el sistema estaba an funcionando.
2) Si ya se tiene claro cul fue la vulnerabilidad que
dej el sistema desprotegido, es necesario ir un paso
ms all y buscar en Internet algn exploit anterior a
la fecha del incidente, que utilice esa vulnerabilidad.

3) Reforzar cada una de las hiptesis empleando una


formulacin causa-efecto, tambin es el momento de
arrancar y comenzar a utilizar la mquina preparada
como conejillo de Indias. Probar sobre la mquina
los exploits que se encontr, recordar que en el
anlisis forense un antecedente es que los hechos
han de ser reproducibles y sus resultados
verifi cables, por lo tanto comprobar si la ejecucin de
este exploit sobre una mquina igual que la afectada,
genere los mismos eventos que ha encontrado entre
sus evidencias.

3.4 IDENTIFICACION DEL ATACANTE


Ser de utilidad consultar nuevamente algunas
evidencias voltiles que se recopil en las primeras
fases, revisar las conexiones que estaban abiertas, en
qu puertos y qu direcciones IP las solicitaron,
adems buscar entre las entradas a los logs de
conexiones.
Tambin se puede indagar entre los archivos borrados
que se recuper por si el atacante elimin alguna
huella que quedaba en ellos.

SI SE DECIDE PERSEGUIR A LOS


ATACANTES, SE DEBER:
1) Primero inte ntar aver ig uar la direccin IP d e l atacan te , para
ello re vis ar con d ete nimie nto los re g istros de con exione s de re d y
los proce sos y se rvicios que se e ncontrab an a la e scu cha. Tambi n
se p od ra e ncon trar e sta in formacin e n fragmentos de las
evide n cias voltiles , la me moria virtual o archivos te mporale s y
borr ados, c omo re stos d e e mail, conexione s fallidas, e tc.

2) Al te ne r una IP s os pe chos a, comprobarla e n e l re g istro R IPE


NCC (www.ripe .ne t) a qui n pe rten ece . Pe ro ojo, no sacar
conclus ione s prematur as , muc hos atacantes falsifi can la d ire ccin
IP con t cnicas de spoofi ng. O tr a tcn ica de ataque habitual
consis te e n utilizar ord enadore s zomb is , stos son
comprome tidos en pr imer a instan cia por e l atacante y
poste r iorme nte son utilizados para re alizar e l ataqu e fi nal sin que
sus propie tar ios se pan que es tn sie n do cmplice s de tal h ech o.

3) Utilizar tcnicas hacker pero solo de forma tica,


para identifi car al atacante, por si el atacante dej en
el equipo afectado una puerta trasera o un troyano,
est claro que en el equipo del atacante debern
estar a la escucha esos programas y en los puertos
correspondientes, bien esperando noticias o buscando
nuevas vctimas.

3.5 PERFIL DEL ATACANTE


H a c ke r s : S o n l o s m s p o p u l a re s y s e t r a t a d e p e r s o n a s c o n
c o n o c i m i e n t o s e n t c n i c a s d e p ro g r a m a c i n , re d e s , I n t e rn e t y s i s t e m a s
operativos. Sus ataques
s u e l e n t e n e r m o t i v a c i o n e s d e t i p o i d e o l g i c o ( p a ci fi s t a s , e c o l o g i s t a s ,
anti
g l o b a l i z a c i n , a n t i M i c ro s o ft , e t c . ) o s i m p l e m e n t e l o c o n s i d e r a n c o m o u n
desafo
intelectual.
S c i p t K i d d i e s : S o n u n a n u e v a e s p e c i e d e d e l i n c u e n t e s i n f o rm t i c o s . S e
t r a t a d e j v e n e s q u e c o n u n o s c o n o c i m i e n t o s a c e p t a b l e s e n I n t e rn e t y
p ro g r a m a c i n e m p l e a n h e rr a m i e n t a s y a f a b r i c a d a s p o r o t ro s p a r a
re a l i z a r a t a q u e s y v e r q u e p a s a . S u n o m b re v i e n e d e s u c o r t a e d a d y d e l
u s o d e l o s s c r i p t s , g u a s d e a t a q u e s q u e e n c u e n t r a n p o r I n t e rn e t .
Pr o f e s i o n a l e s : S o n p e r s o n a s c o n m u c h s i m o s c o n o ci m i e n t o s e n
l e n g u a j e s d e p ro g r a m a c i n , e n re d e s y s u e q u i p a m i e n t o ( ro u t e r s ,
fi re w a l l , e t c . ) , I n t e rn e t y s i s t e m a s o p e r a t i v o s t i p o U N I X . S u e l e n re a l i z a r
l o s a t a q u e s t a q u e s b a j o e n c a rg o , p o r l o q u e s u f o rm a d e t r a b a j a r i m p l i c a
u n a ex h a u s t i v a p re p a r a c i n d e l m i s m o , re a l i z a n d o u n e s t u d i o m e t i c u l o s o
d e t o d o e l p ro c e s o q u e l l e v a r a ca b o , re co p i l a n d o t o d a l a i n f o rm a c i n
p o s i b l e s o b re s u s o b j e t i v o s , s e p o s i c i o n a r e s t r a t g i c a m e n t e c e rc a d e

3.6 EVALUACIN DEL IMPACTO


CAUSADO AL SISTEMA
Generalmente se pueden dar dos tipos de ataques:
Ataques pasivos.- En los que no se altera la
informacin ni la operacin normal de los sistemas,
limitndose el atacante a fi sgonear por ellos.
Ataques activos.- En los que se altera y en
ocasiones seriamente tanto la informacin como la
capacidad de operacin del sistema.

4 FASE DE DOCUMENTACIN Y
PRESENTACIN DE LAS PRUEBAS
Es muy importante comenzar a tomar notas sobre todas las
actividades que se lleven a cabo. Cada paso dado debe ser
documentado y fechado desde que se descubre el incidente
hasta que fi naliza el proceso de anlisis forense
4.1 UTILIZACION DE FORMULARIOS DE REGISTRO DEL
INCIDENTE
stos debern ser rellenados por los departamentos
afectados o por el administrador de los equipos. Alguno de
los formularios que debera preparar sern:
Documento de custodia de la evidencia
Formulario de identifi cacin del equipos y componentes
Formulario de incidencias tipifi cadas
Formulario de publicacin del incidente
Formulario de recogida de evidencias
Formulario de discos duros.

4.1.1 INFORME TECNICO


Este informe consiste en una exposicin detallada del anlisis efectuado. Deber
describ ir en profundidad la metod ologa, tcnicas y hallazg os del eq uip o forense.

In trod ucci n
Antecedentes del incidente
Re c o l e c c i n d e l o s d a t o s
Descripcin de la evidencia
En torn o d el an lisis
Descripcin d e las h erra mien tas
Anlisis de la evidencia
In formaci n d el sistema an aliz ado
Caractersticas del SO
Aplicaciones
Servicios
Vu l n e r a b i l i d a d e s
Metodologa
Descripcin de los hallazgos
Huellas de la intrusin
Herramien tas u sadas p or el ata can te
Alcance de la intrusin
El origen del ataque
Cro no loga d e la in tru sin
Conclusiones
Re c o m e n d a c i o n e s e s p e c fi c a s
Re f e r e n c i a s
An exo s

4.1.2 INFORME EJECUTIVO


E s t e i n f o rm e c o n s i s t e e n u n re s u m e n d e l a n l i s i s e f e c t u a d o p e ro e m p l e a n d o
u n a ex p l i c a c i n n o t c n i c a , c o n l e n g u a j e c o m n .

Introduccin.- Descripcin del objetivo del anlisis del sistema


p re v i a m e n t e a t a c a d o y c o m p ro m e t i d o , t a m b i n s e i n c l u y e l a i n f o rm a c i n
d e l a e v i d e n c i a p ro p o rc i o n a d a .
A n l i s i s . - D e s c r i p c i n d e l e n to rn o d e t r a b a j o y d e l a s h e rr a m i e n ta s d e
a n l i s i s f o re n s e s e l e c c i o n a d a s a s c o m o l a c a n t i d a d d e t i e m p o e m p l e a d o
e n e l m i s m o.
S u m a r i o d e l i n c i d e n t e . - Re s u m e n d e l i n c i d e n t e t r a s e l a n l i s i s d e l a
evidencia aportada.
Pr i n c i p a l e s C o n c l u s i o n e s d e l a n l i s i s . - D e t a l l e d e l a s c o n c l u s i o n e s a
l a s q u e s e l l e g o u n a v e z t e rm i n a d o e l p ro c e s o d e a n l i s i s .
S o l u c i n a l i n c i d e n t e . - D e s c r i p c i n d e l a s o l u c i n p a r a re c u p e r a c i n
del incidente.
Re c o m e n d a c i o n e s fi n a l e s . - p a s o s q u e s e d e b e n re a l i z a r p a r a
garantizar la seguridad de los equipos y que el incidente no vuelva a
s u c e d e r.